OT Security mit Zero Trust

OT Security mit Zero Trust
OT Security mit Zero Trust

von Stefan Schachinger, Product Manager Network Security, Barracuda Networks AG

Laut Barracudas Marktbericht "The State of Industrial Security in 2022" hatten über 90 % der befragten Unternehmen im letzten Jahr einen Sicherheitsvorfall. In einer Welt, in der ein einziger Angriff den Geschäftsbetrieb lähmen oder sogar vollständig unterbrechen kann, müssen Unternehmen der IIoT- und OT-Sicherheit Priorität einräumen, um sicherzustellen, dass ihre Anlagen geschützt sind.

Intelligente Systeme verbinden alle Komponenten einer Produktionskette miteinander - und reagieren auf Produktanforderungen, was wiederum die Optimierung von Lieferketten und Produktionsnetzen in Echtzeit ermöglicht. Die zunehmende Konnektivität von Steuerungssystemen, Sensoren, Maschinen und mehr hat auch dazu geführt, dass ehemals isolierte Systeme den Gefahren des Internets ausgesetzt sind.

Herausforderungen bei der Umsetzung von IIoT/OT-Sicherheitsprojekten
Mit der fortschreitenden technologischen Entwicklung nimmt die Zahl der IIoT-Geräte, die zumindest mit dem internen Netzwerk, oder auch mit dem Internet verbunden sind, rasch zu. Dadurch wächst auch die Angriffsfläche. Das zeigt sich dadurch, dass die meisten Organisationen IIoT/OT-Sicherheitsprojekte planen oder bereits umsetzen, wobei Großunternehmen gegenüber kleineren Unternehmen die Nase vorn haben. Die größten Probleme treten unisono vor allem rund um Konnektivität und Skalierbarkeit auf.

Schutz der Infrastruktur durch Mikrosegmentierung
Geräte, die früher als "konstruktionsbedingt sicher" galten oder einfach nicht "wert" waren, gehackt zu werden, sind für die Angreifer von heute sehr viel attraktiver geworden. Der Austausch von Geräten durch neuere und sicherere Modelle ist oft keine Option; die Unternehmen haben heute viel zu viele Geräte im Einsatz, um dies zu realisieren. Auch eine Aktualisierung der Gerätefirmware ist nicht immer möglich.

Mikrosegmentierung ist die beste Methode, um die Auswirkungen eines Vorfalls abzuschwächen. Die Isolierung potenziell gefährdeter Netzwerkgeräte und die Beschränkung des legitimen Netzwerkverkehrs sind unerlässlich, um die interne Ausbreitung zu verhindern, wenn ein Angriff die Infrastruktur trifft. Dies beinhaltet die Implementierung einer Segmentierung zwischen IT und OT und die Einführung einer zusätzlichen Segmentierung (Mikrosegmentierung) im OT-Netz, die den bestmöglichen Schutz bietet, indem sie jedes einzelne Gerät oder kleine Gruppen von Geräten isoliert.

Am Anfang einer Zero Trust Umgebung steht Mikrosegmentierung
Bei Zero Trust geht es letztlich um die Daten und die Implementierung von Sicherheitskontrollen, die diese schützen. Anstelle von bedingungslosem Vertrauen und uneingeschränkten Zugriffen – also der gelebten Realität in vielen Unternehmen – sollen Benutzer und Geräte kontinuierlich überprüft und deren Aktivitäten im Netzwerk auf das Nötige reduziert werden. Cyberattacken wie Colonial Pipeline und JBS haben gezeigt, wie schädlich Angriffe auf die OT-Seite der Unternehmensinfrastruktur sein können. Angriffe auf OT-Netzwerke schaden nicht nur dem Ruf und den Finanzen, sie können auch reale physische Schäden an Maschinen verursachen – mit spürbaren und unter Umständen gefährlichen Auswirkungen. Das Konzept Zero Trust soll hier mit einer Reihe von Maßnahmen Abhilfe schaffen. Der erste Schritt in industriellen Netzen ist die Adressierung der schwerwiegendsten Schwachstellen. Die Ergebnisse unserer Studie zeigen ganz klar, dass fehlende Segmentierung und unsichere Fernwartungszugänge zu den größten Problemen gehören.

Zero Trust bedeutet auch, dass die Segmentierung von Funktionen in getrennte Zonen, wie beispielsweise die Trennung zwischen dem Manufacturing Execution System (MES), der Mensch-Maschine-Schnittstelle (HMI) und der speicherprogrammierbaren Steuerung (SPS), dabei hilft, den Netzwerkverkehr zwischen den Zonen auf ein Minimum zu beschränken und bösartige Aktivitäten zu verhindern. Im Katastrophenfall lassen sich dadurch Bedrohungen auch leichter erkennen und eindämmen bzw. bekämpfen.

Die Vorteile der Mikrosegmentierung 
Wenn Sie verschiedene Teile Ihres Netzwerks durch Netzwerksegmentierung voneinander isolieren, profitieren Sie von mehreren Vorteilen – konzentrieren wir uns heute aber nur auf die zwei wichtigsten Punkte:

Angreifer werden ausgebremst. Cyberkriminelle, die sich Zugang zu einem Bereich in einem segmentierten Netzwerk verschaffen, haben es wesentlich schwerer, in das restliche Netzwerk einzudringen, und es ist einfacher, sie aufzuspüren und in ihrem Tun zu stoppen. Wenn es ihnen doch gelingt, mit einem Angriff Schaden anzurichten, wird dieser Schaden auf ein Netzwerksegment begrenzt, und es wird dadurch weniger Zeit und Geld benötigt, um die Folgen zu beseitigen. Als weiterer angenehmer Nebeneffekt wird die allgemeine Datensicherheit erhöht, da die Trennung zwischen den Zonen das Risiko von Datendiebstahl oder -zerstörung verringert. Cyberkriminelle haben nur in Hollywood den sportlichen Ehrgeiz möglichst trickreich die kompliziertesten Absicherungen zu umgehen. Im echten Leben wird doch der Weg des geringsten Widerstands genommen, auch bei gezielten Angriffen.

Sicherer Fernzugriff: Der Fernzugriff ist nach der Pandemie ein wichtiges Thema, da viele Unternehmen immer noch aus der Ferne arbeiten oder externe Servicepartner und Maschinenhersteller für die Fernwartung und Fehlerbehebung einbinden lassen. Speziell in OT-Umgebungen ist aber eben diese Funktionalität der größte Bedrohungsvektor - daher ist es wichtig, dass Sie Fernzugriff auf sichere und kontrollierte Art und Weise gewähren können, um Angriffe auf fernverwaltete Systeme und Maschinen zu verhindern. Mit Lösungen wie der Barracuda CloudGen Firewall können Benutzer bei Bedarf problemlos einen sicheren, temporären VPN-Zugang zu verschiedenen Teilen des Netzwerks gewähren. Um die potentielle Angriffsoberfläche so weit wie möglich zu reduzieren, können Zero Trust Network Access-Lösungen wie Barracuda CloudGen Access einen bedingten Zugang nur zu bestimmten Anwendungen ermöglichen.

Vermeiden Sie also die verheerenden Folgen moderner Ransomware-Angriffe und anderer Incidents, indem Sie Zero Trust als Sicherheitskonzept implementieren. Barracuda unterstützt Sie dabei bei der Auswahl geeigneter Lösungen.

Hier geht es zu unserer Webseite: https://de.barracuda.com/

Über den Autor:
Stefan Schachinger ist als Produktmanager im Network Security Team bei Barracuda Networks tätig. In dieser Funktion vertritt er die Produktentwicklung und unterstützt Kunden und Partner bei der Konzeption von Sicherheitslösungen in Industrial IoT- und OT-Umgebungen. Er ist seit 9 Jahren bei Barracuda Networks beschäftigt, und war vor dem Wechsel ins Produktmanagement als Consultant und technischer Spezialist für Data Protection und DSGVO tätig. Stefan beschäftigt sich seit über 15 Jahren mit IT Security und war nach dem Studium Informationsmanagement und Computersicherheit an der FH Technikum Wien bei einem Systemintegrator als IT Security Consultant und Penetration Tester beschäftigt.
 

Weiteren Input zum Zusammenhang zwischen Schwachstellen-Exposition & Angriffserkennung gibt es auf unserem LSZ Industry Summit am 17.11.2022 in Graz!

Kostenlose Anmeldung und Infos zu weiteren Themen finden Sie auf unserer Eventpage
Wir freuen uns auf Sie!